某某大型集團(tuán)信息化建設(shè)項(xiàng)目技術(shù)方案

某某大型集團(tuán)信息化建設(shè)項(xiàng)目技術(shù)方案承建單位：河南某某信息技術(shù)有限公司二〇一四年五月目錄TOC\o"1-4"\h\u1某某大型集團(tuán)網(wǎng)絡(luò)現(xiàn)狀 41.1某某大型集團(tuán)網(wǎng)絡(luò)現(xiàn)狀 41.2某某大型集團(tuán)安全現(xiàn)狀 5網(wǎng)絡(luò)安全評估 5網(wǎng)絡(luò)病毒的防范 5網(wǎng)絡(luò)安全隔離 5網(wǎng)絡(luò)監(jiān)控措施 6上網(wǎng)行為管理措施 61.2.6VPN加密傳輸措施 62網(wǎng)絡(luò)安全整體規(guī)劃 72.1網(wǎng)絡(luò)安全目標(biāo) 72.2安全方案設(shè)計原則 7綜合性、整體性 72.3網(wǎng)絡(luò)安全體系劃分 7網(wǎng)絡(luò)安全評估 8網(wǎng)絡(luò)防病毒 8防火墻隔離 8監(jiān)控入侵行為 9上網(wǎng)行為管控 9網(wǎng)絡(luò)安全服務(wù)體系 93某某大型集團(tuán)網(wǎng)絡(luò)安全方案 103.1網(wǎng)絡(luò)冗余技術(shù)方案 103.1.1VRRP的基本概念 113.1.2VRRP工作原理 113.1.3VRRP快速切換 123.2網(wǎng)絡(luò)安全方案 12某某大型集團(tuán)網(wǎng)絡(luò)安全評估方案 12方案設(shè)計說明 133.3防火墻隔離方案 15方案設(shè)計說明 15防火墻設(shè)置原則 153.4網(wǎng)絡(luò)入侵檢測系統(tǒng) 17方案設(shè)計說明 17綠盟入侵檢測主要功能 173.5上網(wǎng)行為管理系統(tǒng) 18方案設(shè)計說明 18上網(wǎng)行為管理的主要功能 183.6SSLVPN系統(tǒng) 20方案設(shè)計說明 203.6.2SSLVPN的主要功能 203.7鏈路負(fù)載均衡 213.7.1方案設(shè)計說明 21鏈路負(fù)載均衡的主要功能 223.8網(wǎng)絡(luò)安全服務(wù)體系方案 23網(wǎng)絡(luò)安全脆弱性修復(fù)服務(wù) 23網(wǎng)絡(luò)安全跟蹤服務(wù) 23網(wǎng)絡(luò)安全信息服務(wù) 24網(wǎng)絡(luò)安全培訓(xùn)服務(wù) 241某某大型集團(tuán)網(wǎng)絡(luò)現(xiàn)狀1.1某某大型集團(tuán)網(wǎng)絡(luò)現(xiàn)狀某某大型集團(tuán)網(wǎng)絡(luò)建設(shè)于2008年，用戶信息點(diǎn)在1000個以下。地理分布范圍在多個區(qū)域，主要利用因特網(wǎng)進(jìn)行外部業(yè)務(wù)活動。主要的信息點(diǎn)有**辦公樓、**樓、**廠、**公寓、**服務(wù)樓、**大院、**學(xué)生公寓及各**車間。各信息點(diǎn)線路基本全部到位。距離較遠(yuǎn)的以光纖接入，樓層內(nèi)以超五類布線，實(shí)現(xiàn)了百兆到桌面的網(wǎng)絡(luò)部署。中心機(jī)房核心交換機(jī)為華為5700；核心路由器華為AR2260作為整個網(wǎng)絡(luò)的出口；網(wǎng)絡(luò)接入層交換機(jī)為H3C的S3100，大部分不能遠(yuǎn)程管理。隨著集團(tuán)規(guī)模的增加，需要網(wǎng)絡(luò)辦公的人數(shù)越來越多，現(xiàn)在的網(wǎng)絡(luò)設(shè)備性能已不能滿足正常的辦公需要及**系統(tǒng)的正常使用。辦公區(qū)沒有實(shí)現(xiàn)無線覆蓋，大多數(shù)為個人私接無線路由器。隨著無線終端辦公用戶的增多，現(xiàn)在的無線網(wǎng)絡(luò)已遠(yuǎn)遠(yuǎn)不能滿足正常的辦公需要，并且容易給辦公網(wǎng)絡(luò)造成安全隱患。1.2某某大型集團(tuán)安全現(xiàn)狀目前集團(tuán)內(nèi)網(wǎng)絡(luò)安全設(shè)備僅有一臺金山防火墻給西區(qū)學(xué)生公寓使用，集團(tuán)沒有做相關(guān)的安全保護(hù)措施，存在很大安全隱患，主要包括病毒泛濫、來自網(wǎng)絡(luò)內(nèi)部的黑客攻擊、信息丟失、服務(wù)被拒絕等等，一旦發(fā)生網(wǎng)絡(luò)病毒或攻擊事件對整個集團(tuán)企業(yè)網(wǎng)絡(luò)而言都是致命性的。針對集團(tuán)企業(yè)的結(jié)構(gòu)及特點(diǎn)確定以下幾個必須考慮的安全防護(hù)要點(diǎn)：1.2.1網(wǎng)絡(luò)安全評估網(wǎng)絡(luò)在給我們帶來巨大的經(jīng)濟(jì)效益和社會效益的同時，由于網(wǎng)絡(luò)協(xié)議本身存在的缺陷和軟件設(shè)計編制上的瑕疵，以及網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計上的缺陷，使得網(wǎng)絡(luò)系統(tǒng)、計算機(jī)系統(tǒng)中存在著種種的脆弱點(diǎn)，這些脆弱點(diǎn)為病毒及非法訪問提供了方便之門，并且隨著計算機(jī)技術(shù)的不斷發(fā)展，新的脆弱點(diǎn)不斷產(chǎn)生，因此有必要時刻監(jiān)視網(wǎng)絡(luò)及計算機(jī)系統(tǒng)，評估網(wǎng)絡(luò)的安全性，以便對網(wǎng)絡(luò)的安全性做到心中有數(shù)，提高信息網(wǎng)絡(luò)抗風(fēng)險能力。1.2.2網(wǎng)絡(luò)病毒的防范在網(wǎng)絡(luò)中，病毒已從傳統(tǒng)的存儲介質(zhì)（軟、硬、光盤）感染方式發(fā)展為以網(wǎng)絡(luò)通訊和電子郵件為主要傳播途徑的感染方式。其傳播速度極快、破壞力更強(qiáng)，據(jù)統(tǒng)計一個新病毒從一臺計算機(jī)發(fā)出僅六個小時就能感染全球互聯(lián)網(wǎng)機(jī)器，而且每天都有十幾種新病毒出現(xiàn)，全世界每個月有將近四百五十種新的病毒出現(xiàn)。網(wǎng)絡(luò)一旦被病毒侵入并發(fā)作，將會對重要數(shù)據(jù)的保密性、完整性、可用性以及網(wǎng)絡(luò)環(huán)境的正常運(yùn)行帶來嚴(yán)重的危害。所以病毒防范是計算機(jī)網(wǎng)絡(luò)安全工作的重要環(huán)節(jié)之一。1.2.3網(wǎng)絡(luò)安全隔離目前隨著網(wǎng)絡(luò)的廣泛應(yīng)用，某某大型集團(tuán)需要通過網(wǎng)絡(luò)進(jìn)行信息交流、信息共享等工作。然而，任何事物都具有兩面性，信息網(wǎng)絡(luò)在給我們帶來巨大便利的同時，也存在著安全隱患。因此，一旦被非法人員控制某某大型集團(tuán)的管理權(quán)限，所造成的影響和損失是可想而知的。所以在某某大型集團(tuán)與外部網(wǎng)絡(luò)之間以及某某大型集團(tuán)內(nèi)部重要網(wǎng)絡(luò)之間通過防火墻進(jìn)行有效的安全隔離是必要的。1.2.4網(wǎng)絡(luò)監(jiān)控措施防火墻隔離只能起到網(wǎng)絡(luò)邊界的保護(hù)作用，但是，防火墻無法防備來自集團(tuán)內(nèi)部網(wǎng)絡(luò)的攻擊行為。然而，來自內(nèi)部網(wǎng)絡(luò)的攻擊、破壞比來自外部網(wǎng)絡(luò)的攻擊、破壞更具有致命性。因此，在不影響網(wǎng)絡(luò)正常運(yùn)行的情況下，增加對網(wǎng)絡(luò)的監(jiān)控機(jī)制可以做到最大限度的網(wǎng)絡(luò)資源保護(hù)，規(guī)范網(wǎng)絡(luò)訪問行為，從網(wǎng)絡(luò)監(jiān)控中得到統(tǒng)計信息進(jìn)一步完善網(wǎng)絡(luò)安全策略，降低安全風(fēng)險，提高網(wǎng)絡(luò)安全防御能力。1.2.5上網(wǎng)行為管理措施在使用電腦辦公和互聯(lián)網(wǎng)帶來的便捷同時，員工非工作上網(wǎng)現(xiàn)象越來越突出，企業(yè)普遍存在著電腦和互聯(lián)網(wǎng)絡(luò)濫用的嚴(yán)重問題。網(wǎng)上購物、在線聊天、在線欣賞音樂和電影、P2P工具下載等與工作無關(guān)的行為占用了有限的帶寬，嚴(yán)重影響了正常的工作效率。目前企業(yè)上網(wǎng)行為管理，需要的不僅僅是網(wǎng)絡(luò)管理員，企業(yè)管理層也需要通過它來實(shí)現(xiàn)實(shí)時管控的行為，幫助企業(yè)管理者能夠直觀而又直接地對員工進(jìn)行規(guī)范與管理。因此有必要配置一套行之有效的上網(wǎng)行為管理系統(tǒng)。1.2.6VPN加密傳輸措施通過安裝部署VPN系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實(shí)現(xiàn)移動用戶、遠(yuǎn)程LAN的安全連接。外聯(lián)單位通過互聯(lián)網(wǎng)訪問ERP時，采用SSLVPN加密技術(shù)，使用VPN分配的用戶名密碼認(rèn)證方式，并且設(shè)置為初次登錄必須修改初始密碼。在帳戶信息傳遞過程中，采用MD5數(shù)據(jù)加密認(rèn)證方式。這樣可以保證數(shù)據(jù)的安全性、保密性、完整性等需要。2網(wǎng)絡(luò)安全整體規(guī)劃網(wǎng)絡(luò)安全目標(biāo)安全，防止病毒、黑客對網(wǎng)絡(luò)系統(tǒng)的破壞；可靠，保證網(wǎng)絡(luò)數(shù)據(jù)的安全性，將網(wǎng)絡(luò)系統(tǒng)風(fēng)險降到最低；穩(wěn)定，在異常訪問情況下，保證系統(tǒng)正常運(yùn)行；保密，在網(wǎng)絡(luò)管理傳輸時數(shù)據(jù)不被修改和不被竊??；實(shí)時監(jiān)控，規(guī)范網(wǎng)絡(luò)訪問行為，正確確定安全策略及科學(xué)的安全風(fēng)險評估；良好的可擴(kuò)展性，保證系統(tǒng)滿足提供其他增值服務(wù)的需要。優(yōu)質(zhì)服務(wù)，為客戶不間斷（7*24）全天候、多方位的滿意服務(wù)。安全方案設(shè)計原則綜合性、整體性從某某大型集團(tuán)網(wǎng)絡(luò)系統(tǒng)的整體角度考慮安全項(xiàng)目，制定有效、可行的安全措施，建立完整的網(wǎng)絡(luò)安全防范體系。一致性提供的安全解決方案應(yīng)與某某大型集團(tuán)網(wǎng)絡(luò)的安全需求相一致，并適當(dāng)提出有利某某大型集團(tuán)網(wǎng)絡(luò)發(fā)展的安全建設(shè)建議。易用性某某大型集團(tuán)網(wǎng)絡(luò)安全解決方案應(yīng)該避免造成網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜，避免操作與維護(hù)的復(fù)雜。提供的安全管理工具具有友好的圖形化(GUI)管理界面?？尚行浴⒖煽啃?、安全性采用安全系統(tǒng)以后，不會對原有的網(wǎng)絡(luò)和應(yīng)用系統(tǒng)有大的影響。在網(wǎng)絡(luò)和應(yīng)用系統(tǒng)正常運(yùn)行的前提下，提高某某大型集團(tuán)網(wǎng)絡(luò)系統(tǒng)的安全性。網(wǎng)絡(luò)安全體系劃分從安全方案涉及到的每一系統(tǒng)單元，考慮每一層次提供的安全功能，考慮系統(tǒng)單元之間的邏輯關(guān)系，劃分網(wǎng)絡(luò)安全子體系，分別對應(yīng)的相應(yīng)的安全解決方案，最終形成網(wǎng)絡(luò)安全整體解決方案。根據(jù)上面的網(wǎng)絡(luò)安全框架，把網(wǎng)絡(luò)安全方案分以下幾個子方案：網(wǎng)絡(luò)安全評估、網(wǎng)絡(luò)防病毒、防火墻隔離、入侵檢測監(jiān)控、上網(wǎng)行為管理、網(wǎng)絡(luò)安全服務(wù)體系。網(wǎng)絡(luò)安全評估針對某某大型集團(tuán)目前的網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)和計算機(jī)系統(tǒng)分布，實(shí)施全面的網(wǎng)絡(luò)安全評估服務(wù)。通過漏洞掃描、系統(tǒng)評估等技術(shù)定期對硬件設(shè)施、軟件平臺、網(wǎng)絡(luò)數(shù)據(jù)、網(wǎng)絡(luò)通信、網(wǎng)絡(luò)管理等五個層次進(jìn)行全面的安全隱患和脆弱性分析，提供詳細(xì)的分析報告及安全整改建議。使某某大型集團(tuán)對整體安全狀況有全面具體的了解，從而為信息安全決策和管理提供依據(jù)。網(wǎng)絡(luò)防病毒網(wǎng)絡(luò)防病毒主要對某某大型集團(tuán)網(wǎng)絡(luò)內(nèi)所有計算機(jī)系統(tǒng)做防病毒保障，保證網(wǎng)絡(luò)數(shù)據(jù)的完整性和保密性。近年來，病毒的傳播速度越來越快，病毒的破壞力和隱蔽性也越來越強(qiáng)，可以說無孔不入。對于網(wǎng)絡(luò)狀態(tài)下的防病毒，只防范局部而沒有全局意識是很危險的（例如只對服務(wù)器進(jìn)行防護(hù)而忽視了網(wǎng)絡(luò)中其它客戶端）。網(wǎng)絡(luò)中的安全防護(hù)能力遵循“木桶原理”，整個網(wǎng)絡(luò)的安全防護(hù)能力取決于網(wǎng)絡(luò)中防范能力最差的節(jié)點(diǎn)。如果網(wǎng)絡(luò)中有一臺計算機(jī)感染病毒，就會給網(wǎng)絡(luò)中其他計算機(jī)形成嚴(yán)重的威脅。因此，利用有效的網(wǎng)絡(luò)防病毒工具，建立整體防范意識，從病毒的形成、病毒的傳播形式、病毒的傳播途徑、病毒發(fā)作方式著手，對整個網(wǎng)絡(luò)計算機(jī)系統(tǒng)進(jìn)行“武裝”。通過對整個某某大型集團(tuán)網(wǎng)絡(luò)進(jìn)行統(tǒng)一的防病毒管理維護(hù)，確保某某大型集團(tuán)網(wǎng)絡(luò)具有牢固的防病毒系統(tǒng)，保證網(wǎng)絡(luò)的正常運(yùn)行。同時，通過防病毒系統(tǒng)可以有效地監(jiān)控、阻止網(wǎng)絡(luò)內(nèi)部利用木馬等工具進(jìn)行的內(nèi)部遠(yuǎn)程控制攻擊，彌補(bǔ)防火墻不能阻止內(nèi)部主機(jī)對內(nèi)部主機(jī)的攻擊。郵件已經(jīng)成為病毒傳播的主要載體，因此，對郵件服務(wù)器內(nèi)各個郵箱的監(jiān)控是控制病毒泛濫和傳播的最有效手段，建立郵件服務(wù)器病毒監(jiān)控成為某某大型集團(tuán)網(wǎng)絡(luò)病毒防護(hù)中不可分割部分。防火墻隔離在某某大型集團(tuán)網(wǎng)絡(luò)與Internet網(wǎng)絡(luò)之間，通過防火墻實(shí)現(xiàn)物理隔離，有效抵抗來自外部網(wǎng)絡(luò)的非法訪問。對來自外部網(wǎng)絡(luò)的用戶實(shí)施安全訪問控制策略，提供可用性和可靠性服務(wù)。由此形成安全的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，有機(jī)結(jié)合入侵檢測系統(tǒng)提供科學(xué)合理的安全策略。同時，通過與網(wǎng)絡(luò)防病毒系統(tǒng)有機(jī)結(jié)合，阻斷染毒主機(jī)通過防火墻對其他網(wǎng)絡(luò)的病毒感染。監(jiān)控入侵行為盡管防火墻能夠通過強(qiáng)化網(wǎng)絡(luò)安全策略抵御來自外部網(wǎng)絡(luò)的非法訪問，但對網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊無能為力。依靠基于網(wǎng)絡(luò)的實(shí)時入侵檢測技術(shù)，動態(tài)監(jiān)測來自于外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的所有訪問行為并做出及時的響應(yīng)。監(jiān)控內(nèi)外網(wǎng)絡(luò)數(shù)據(jù)流，從中檢測出攻擊行為并給予相應(yīng)的響應(yīng)和處理。尤其是來自內(nèi)外網(wǎng)絡(luò)針對或通過防火墻的攻擊行為，通過實(shí)施入侵檢測技術(shù)，當(dāng)檢測到攻擊行為時，入侵檢測通知防火墻實(shí)時阻斷攻擊源，進(jìn)一步提高抗攻擊能力，更有效地保護(hù)網(wǎng)絡(luò)資源，規(guī)范網(wǎng)絡(luò)訪問行為。與網(wǎng)絡(luò)防病毒結(jié)合更能查找網(wǎng)絡(luò)內(nèi)病毒的發(fā)源地。上網(wǎng)行為管控對各個上網(wǎng)用戶進(jìn)行帶寬管理、保證正常業(yè)務(wù)帶寬，對P2P流媒體進(jìn)行帶寬的限制。對員工上網(wǎng)瀏覽網(wǎng)頁、郵件、IM、外發(fā)等進(jìn)行審計，防止機(jī)密數(shù)據(jù)的外泄。防止來自外網(wǎng)的DOS,DDOS攻擊等。組織單位面對來自帶寬效率、工作效率、泄密、法律和網(wǎng)絡(luò)安全五大風(fēng)險問題時，往往需要一套完善的可靠的上網(wǎng)行為管理解決方案。深信服上網(wǎng)行為管理從身份認(rèn)證、訪問控制、帶寬分配、監(jiān)控審計、安全強(qiáng)化五個方面，為用戶解決上網(wǎng)行為管理的問題，提供專業(yè)的解決方案和服務(wù)。2.3.6網(wǎng)絡(luò)安全服務(wù)體系完善的服務(wù)體系是網(wǎng)絡(luò)安全不可或缺的重要環(huán)節(jié)。安全技術(shù)和安全設(shè)備并不能從根本上永久性的保證網(wǎng)絡(luò)的安全。那么，通過不斷地改進(jìn)安全技術(shù)、提高安全設(shè)備的可靠性；不斷建立并完善安全管理機(jī)制，降低人為造成的漏洞；通過培訓(xùn)不斷提高每個人的安全防范意識，建立整體性的安全防范體系，保證某某大型集團(tuán)網(wǎng)絡(luò)的安全。根據(jù)某某大型集團(tuán)的具體網(wǎng)絡(luò)狀況，我司建立如下的安全服務(wù)體系：網(wǎng)絡(luò)安全脆弱性修復(fù)服務(wù)通過定期的網(wǎng)絡(luò)安全評估，彌補(bǔ)網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用漏洞，提高網(wǎng)絡(luò)整體防范能力。網(wǎng)絡(luò)安全跟蹤服務(wù)通過網(wǎng)絡(luò)安全實(shí)施公司提供的完善的售后服務(wù)，不斷完善產(chǎn)品技術(shù)，提高設(shè)備的可靠性，不斷提高網(wǎng)絡(luò)的防范能力。網(wǎng)絡(luò)安全信息服務(wù)通過網(wǎng)絡(luò)安全實(shí)施公司定期提供的網(wǎng)絡(luò)安全動態(tài)、技術(shù)動態(tài)，及時了解網(wǎng)絡(luò)安全發(fā)展方向，以新的技術(shù)和新的防范意識提高網(wǎng)絡(luò)的防范能力。網(wǎng)絡(luò)安全培訓(xùn)服務(wù)通過網(wǎng)絡(luò)安全實(shí)施專業(yè)的技術(shù)培訓(xùn)工程師對安全管理人員和一般使用人員進(jìn)行系統(tǒng)的技術(shù)培訓(xùn)，提高每個員工的安全技術(shù)和安全防范意識，實(shí)現(xiàn)網(wǎng)絡(luò)的整體防范體系。3某某大型集團(tuán)網(wǎng)絡(luò)安全方案3.1網(wǎng)絡(luò)冗余技術(shù)方案本次方案中，針對核心層是整個網(wǎng)絡(luò)數(shù)據(jù)的匯總轉(zhuǎn)發(fā)區(qū)域，通過配置雙核心交換機(jī)、雙防火墻來實(shí)現(xiàn)熱備冗余。交換機(jī)采用VRRP+Channel技術(shù)，即虛擬冗余路由協(xié)議和鏈路通道技術(shù)。虛擬路由冗余協(xié)議是在2臺核心交換機(jī)之間虛擬出一臺邏輯交換機(jī)，用戶計算機(jī)網(wǎng)關(guān)均指向虛擬交換機(jī)，這樣在一臺核心設(shè)備宕機(jī)或鏈路出現(xiàn)問題時，在很短的時間內(nèi)（5-20秒），備用交換機(jī)就會自動啟動，接管服務(wù)成為主用設(shè)備，用戶基本感覺不到切換。Channel技術(shù)，是在接入交換機(jī)，例如**區(qū)，**辦公區(qū)，每個交換機(jī)使用4條鏈路與2臺核心交換機(jī)連接，每兩條鏈路使用Channel技術(shù)進(jìn)行鏈路捆綁，在核心交換機(jī)看來只是一條線路，在一條鏈路斷掉時，對網(wǎng)絡(luò)沒有一點(diǎn)影響，因此大大增加了整體網(wǎng)絡(luò)的可靠性能。3.1.1VRRP的基本概念通常情況下，內(nèi)部網(wǎng)絡(luò)中的所有主機(jī)都設(shè)置一條相同的缺省路由，指向出口網(wǎng)關(guān)（即圖中的主用核心交換機(jī)），實(shí)現(xiàn)主機(jī)與外部網(wǎng)絡(luò)的通信。當(dāng)出口網(wǎng)關(guān)發(fā)生故障時，主機(jī)與外部網(wǎng)絡(luò)的通信就會中斷。3.1.2VRRP工作原理vrrp只定義了一種報文——vrrp報文，這是一種組播報文，由主三層交換機(jī)定時發(fā)出來通告他的存在。使用這些報文可以檢測虛擬三層交換機(jī)各種參數(shù)，還可以用于主三層交換機(jī)的選舉。VRRP中定義了三種狀態(tài)模型，初始狀態(tài)Initialize，活動狀態(tài)Master和備份狀態(tài)Backup，其中只有活動狀態(tài)的交換機(jī)可以為到虛擬IP地址的的轉(zhuǎn)發(fā)請求提供服務(wù)。VRRP報文是封裝在IP報文上的，支持各種上層協(xié)議，同時VRRP還支持將真實(shí)接口IP地址設(shè)置為虛擬IP地址。那么如何從備份組的多臺交換機(jī)中選舉Master？這項(xiàng)工作由我們在備份組內(nèi)每臺交換機(jī)上配置的相同IP地址的虛擬交換機(jī)完成。虛擬交換機(jī)根據(jù)配置的優(yōu)先級的大小選擇主交換機(jī)，優(yōu)先級最大的作為主交換機(jī)，狀態(tài)為Master，若優(yōu)先級相同（如果交換機(jī)沒有配置優(yōu)先級，就采用默認(rèn)值100），則比較接口的主IP地址，主IP地址大的就成為主交換機(jī)，由它提供實(shí)際的路由服務(wù)。其他交換機(jī)作為備份交換機(jī)，隨時監(jiān)測主交換機(jī)的狀態(tài)。當(dāng)主交換機(jī)正常工作時，它會每隔一段時間發(fā)送一個VRRP組播報文，以通知組內(nèi)的備份交換機(jī)，主交換機(jī)除正常工作狀態(tài)。如果組內(nèi)的備份交換機(jī)長時間沒有接收到來自主交換機(jī)，則將自己狀態(tài)轉(zhuǎn)換為Master。當(dāng)組內(nèi)有多臺備份交換機(jī)，將有可能產(chǎn)生多個主交換機(jī)。這時每一個主交換機(jī)就會比較VRRP報文中的優(yōu)先級和自己本地的優(yōu)先級，如果本地的優(yōu)先級小于VRRP中的優(yōu)先級，則將自己的狀態(tài)轉(zhuǎn)換為Backup，否則保持自己的狀態(tài)不變。通過這樣一個過程，就會將優(yōu)先級最大的交換機(jī)選成新的主交換機(jī)，完成VRRP的備份功能。3.1.3VRRP快速切換S9306實(shí)現(xiàn)雙向轉(zhuǎn)發(fā)檢測BFD（BidirectionalForwardingDetection）機(jī)制，能夠快速檢測、監(jiān)控網(wǎng)絡(luò)中鏈路或者IP路由的連通狀況，VRRP通過監(jiān)視BFD會話狀態(tài)實(shí)現(xiàn)主備快速切換，可以配置8個BFDSession，主備切換的時間控制在1秒以內(nèi)。結(jié)合使用BFD會話的檢測結(jié)果，可以加快VRRP主備倒換的速度。3.2網(wǎng)絡(luò)安全方案某某大型集團(tuán)網(wǎng)絡(luò)安全評估方案針對某某大型集團(tuán)目前的網(wǎng)絡(luò)結(jié)構(gòu)和計算機(jī)系統(tǒng)分布，實(shí)施全面的網(wǎng)絡(luò)安全評估服務(wù)。我司將網(wǎng)絡(luò)安全從以下五個層次逐層進(jìn)行安全評估：通過漏洞掃描、系統(tǒng)評估等技術(shù)定期對上述硬件設(shè)施、軟件平臺、網(wǎng)絡(luò)數(shù)據(jù)、網(wǎng)絡(luò)通信、網(wǎng)絡(luò)管理等五個層次進(jìn)行全面的安全隱患和脆弱性分析，提供詳細(xì)的分析報告及安全性整改建議。對整體安全狀況有全面具體的了解，從而為進(jìn)行信息安全決策和管理提供依據(jù)。對網(wǎng)絡(luò)硬件設(shè)施評估機(jī)房環(huán)境的安全性網(wǎng)絡(luò)線路的安全性對網(wǎng)絡(luò)軟件平臺評估操作系統(tǒng)的脆弱性網(wǎng)絡(luò)協(xié)議的安全性網(wǎng)絡(luò)服務(wù)的可靠性應(yīng)用程序的安全性應(yīng)用程序的可靠性訪問控制的安全性對網(wǎng)絡(luò)數(shù)據(jù)評估系統(tǒng)數(shù)據(jù)的完整性系統(tǒng)數(shù)據(jù)的機(jī)密性系統(tǒng)數(shù)據(jù)的可靠性系統(tǒng)數(shù)據(jù)的可用性備份與恢復(fù)對網(wǎng)絡(luò)通信評估數(shù)據(jù)通信的安全性對網(wǎng)絡(luò)管理評估對人員、操作、文檔、設(shè)備、運(yùn)行等進(jìn)行安全管理機(jī)制的審核，并提出建設(shè)性意見。通過對上述各個層次進(jìn)行系統(tǒng)性的評估，全面給出每個層次的安全隱患和脆弱性報告，以及安全性整改建議。使某某大型集團(tuán)對信息安全各個層次的安全性狀況和整體安全狀況有全面具體的了解，為信息安全決策和管理提供依據(jù)。3.2.2方案設(shè)計說明根據(jù)某某大型集團(tuán)網(wǎng)絡(luò)現(xiàn)狀，充分考慮可行性的基礎(chǔ)上，我們采用防病毒產(chǎn)品的分級管理、多重防護(hù)體系作為某某大型集團(tuán)網(wǎng)絡(luò)的防病毒管理架構(gòu)。在整個網(wǎng)絡(luò)內(nèi)只要有可能感染和傳播病毒的地方都采取相應(yīng)的防病毒手段，同時為了有效、快捷地實(shí)施和管理整個網(wǎng)絡(luò)的防病毒體系，充分使用網(wǎng)絡(luò)安全產(chǎn)品所擁有的多種功能，為某某大型集團(tuán)網(wǎng)絡(luò)建立起一個完善的防病毒體系。實(shí)施方案說明如下：示意如下圖：3.3防火墻隔離方案方案設(shè)計說明從安全的整體解決方案考慮，綠盟提供的企業(yè)級防火墻正是某某大型集團(tuán)網(wǎng)絡(luò)安全邊界防護(hù)的首選設(shè)備。從安全性、成本等角度合理設(shè)計防火墻機(jī)制，以求防火墻發(fā)揮最大的安全效用。根據(jù)某某大型集團(tuán)的具體網(wǎng)絡(luò)結(jié)構(gòu)，建議在某某大型集團(tuán)與Internet網(wǎng)絡(luò)之間安裝綠盟企業(yè)級防火墻，并且采用防火墻的雙機(jī)熱備技術(shù)。保證在當(dāng)一臺防火墻冗機(jī)的時，另一臺防火墻可以在不間斷的情況下繼續(xù)工作。方案中充分發(fā)揮綠盟企業(yè)級防火墻的狀態(tài)包過濾技術(shù)和應(yīng)用代理技術(shù)，為某某大型集團(tuán)網(wǎng)絡(luò)提供不同層級的安全防護(hù)。并通過與網(wǎng)絡(luò)防病毒系統(tǒng)和入侵檢測系統(tǒng)的有機(jī)結(jié)合，實(shí)現(xiàn)實(shí)時阻斷入侵行為和病毒對外部網(wǎng)絡(luò)的影響。示意圖如下：防火墻設(shè)置原則建立合理有效的安全過濾原則對網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議、端口、源/目的地址、流向進(jìn)行審核，嚴(yán)格控制外網(wǎng)用戶非法訪問。防火墻只打開某某大型集團(tuán)網(wǎng)絡(luò)必要的服務(wù)，對安全級別要求高的服務(wù)，提供應(yīng)用代理。防范外部來的攻擊。對某某大型集團(tuán)用戶實(shí)施時間訪問控制策略，控制某某大型集團(tuán)內(nèi)用戶訪問外網(wǎng)時間。防火墻設(shè)置IP地址MAC地址綁定，防目的IP地址欺騙。定期查看、備份、分析防火墻訪問日志，以便提高訪問控制策略的嚴(yán)謹(jǐn)性。對防火墻的管理員權(quán)限嚴(yán)格控制。3.4網(wǎng)絡(luò)入侵檢測系統(tǒng)3.4.1方案設(shè)計說明入侵檢測機(jī)制能夠?qū)W(wǎng)絡(luò)系統(tǒng)各主要運(yùn)營環(huán)節(jié)進(jìn)行實(shí)時入侵檢測，以便能夠及時發(fā)現(xiàn)或識別攻擊者的企圖或系統(tǒng)資源被誤用、濫用的行為。當(dāng)實(shí)時入侵檢測系統(tǒng)發(fā)現(xiàn)異常時，網(wǎng)絡(luò)系統(tǒng)及時做出適當(dāng)?shù)捻憫?yīng)，通知網(wǎng)絡(luò)管理員、通知被害主機(jī)。本方案中在某某大型集團(tuán)網(wǎng)絡(luò)與Internet網(wǎng)絡(luò)之間設(shè)置了1臺綠盟入侵檢測系統(tǒng)，它與防火墻并行接入網(wǎng)絡(luò)中，監(jiān)測來自INTERNET、某某大型集團(tuán)網(wǎng)絡(luò)內(nèi)部的攻擊行為。當(dāng)有入侵行為時，主動通知防火墻阻斷攻擊源。3.4.2綠盟入侵檢測主要功能網(wǎng)絡(luò)監(jiān)控和統(tǒng)計功能：實(shí)時監(jiān)控網(wǎng)絡(luò)連接狀況統(tǒng)計網(wǎng)絡(luò)狀態(tài)；入侵檢測和報警：實(shí)時檢測網(wǎng)絡(luò)行為，對入侵行為報警；檢測模式：將基于特征的檢測法和基于行為的統(tǒng)計分析法有機(jī)地結(jié)合，能實(shí)時檢測5大類1300多種已知攻擊；帶狀態(tài)的檢測方法：對網(wǎng)絡(luò)攻擊識別準(zhǔn)確，效率高對協(xié)議的分析檢測：提高了系統(tǒng)對未知攻擊的分析能力；遠(yuǎn)程GUI配置管理：簡便靈活，雙因子認(rèn)證+加密傳輸，保證管理安全；模塊化設(shè)計結(jié)構(gòu)：易于升級和維護(hù)；分布式檢測、集中式管理；具有強(qiáng)大的自身保護(hù)能力。3.5上網(wǎng)行為管理系統(tǒng)3.5.1方案設(shè)計說明如圖將SANGFORAC設(shè)備以網(wǎng)橋模式部署在路由器與出口設(shè)備之間，對網(wǎng)絡(luò)的改動很小，網(wǎng)橋模式將SANGFORAC等同于一根連接在網(wǎng)關(guān)和交換機(jī)之間的“智能網(wǎng)線”，可以對所有流經(jīng)AC的數(shù)據(jù)流進(jìn)行審計、管理和控制。AC以串聯(lián)的方式接在路由設(shè)備和出口設(shè)備之間，不做NAT和選路，但對所有經(jīng)過的應(yīng)用流量都具有控制功能，完美展現(xiàn)AC的所有功能。AC具有開機(jī)BYPASS、軟件BYPASS和硬件BYPASS功能，當(dāng)AC出現(xiàn)策略或者設(shè)備故障問題時，AC將成為一條透明的網(wǎng)線，放行所有的數(shù)據(jù)，不影響組織的正常上網(wǎng)。3.5.2上網(wǎng)行為管理的主要功能P2P軟件的控制P2P行為對帶寬的吞噬能力眾所周知，而傳統(tǒng)的只能封堵“昨天的BT軟件”是不夠的。AC憑借P2P智能識別專利技術(shù)(專利號：200610156977.8），不僅能識別和管控常用P2P軟件及版本，對不常見的和未來將出現(xiàn)的P2P亦能管控。而AC為您提供的P2P流控技術(shù)，將限制指定用戶開啟P2P后占用的帶寬。既允許用戶使用P2P，又不會濫用帶寬。帶寬統(tǒng)計和管理AC數(shù)據(jù)中心對內(nèi)網(wǎng)用戶的各種網(wǎng)絡(luò)行為進(jìn)行審計、統(tǒng)計及趨勢、報表等。借助圖形化報表、曲線和統(tǒng)計結(jié)果，可以幫助IT管理者輕松掌控網(wǎng)絡(luò)行為分布和帶寬資源使用等情況。AC基于用戶(組)、應(yīng)用類型、網(wǎng)站類型、文件類型、目標(biāo)IP等的智能流控，細(xì)致劃分與分配帶寬資源，如保障領(lǐng)導(dǎo)的視頻會議、市場部訪問行業(yè)網(wǎng)站、設(shè)計部傳輸CAD文件等行為得到帶寬保障，提升整個機(jī)構(gòu)的帶寬使用效率。提升工作效率上班時間無關(guān)網(wǎng)頁瀏覽、QQ聊天、在線炒股、網(wǎng)絡(luò)游戲等降低了機(jī)構(gòu)的生產(chǎn)效率，如何在上班時間對內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)行為進(jìn)行管理和引導(dǎo)？網(wǎng)頁過濾策略上班時間從事私人活動，管理者卻難以阻止，如上班時間瀏覽新聞網(wǎng)站、論壇發(fā)帖等。AC能針對不同用戶(組)提供基于角色的管理方法，讓管理者實(shí)現(xiàn)指定用戶和部門在工作時間只能訪問特定的網(wǎng)站，例如行業(yè)信息網(wǎng)站、公司門戶網(wǎng)站等，而其他未經(jīng)允許的網(wǎng)頁瀏覽都將被拒絕。IM（即時通訊）聊天軟件的管理上班時間使用QQ、MSN等私人聊天，不僅影響工作效率，還可能因IM傳文件而引入病毒和向外泄密。面對Skype、YahooMessenger、飛信等眾多IM軟件，IT管理員使用現(xiàn)有防火墻等傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備，通過封堵端口和服務(wù)器IP的方式，不僅費(fèi)時費(fèi)力且無法根治。AC通過檢測應(yīng)用數(shù)據(jù)包的特征字段，實(shí)現(xiàn)對IM聊天軟件、在線影音、炒股、網(wǎng)絡(luò)游戲、下載等諸多應(yīng)用的管控。各種行為的管理網(wǎng)頁過濾、IM聊天等管控只是內(nèi)網(wǎng)行為管理的一部分。面對用戶上班即下載未看完的電視劇，搜索最新網(wǎng)絡(luò)新聞、圖片、視頻，上班時間更新博客、上傳圖片、下載電影、程序等問題，AC通過限制用戶搜索指定關(guān)鍵字，過濾用戶上傳下載的指定文件，將內(nèi)網(wǎng)用戶精力更多聚焦在工作上。上網(wǎng)時間管理每個機(jī)構(gòu)都有其工作時間安排，所以，根據(jù)不同時間段為用戶分配網(wǎng)絡(luò)訪問權(quán)限，是專業(yè)上網(wǎng)行為管理設(shè)備必須考慮的問題之一。AC通過為不同部門、不同用戶，基于時間段進(jìn)行權(quán)限分配，也可以限制用戶一天內(nèi)總的上網(wǎng)時間，實(shí)現(xiàn)人性化管理。支持設(shè)定一定的上網(wǎng)時間值，當(dāng)用戶超過這個閥值時，AC會自動彈出提醒頁面，提醒員工上班時間注意提高工作效率，不要從事與工作無關(guān)的網(wǎng)絡(luò)活動。3.6SSLVPN系統(tǒng)3.6.1方案設(shè)計說明在總部網(wǎng)絡(luò)中SANGFORSSLVPN以單臂模式進(jìn)行部署，各分公司員工及出差領(lǐng)導(dǎo)、員工等通過SSLVPN授權(quán)，使用瀏覽器接入總部。對于擁有比較高的應(yīng)用權(quán)限、安全性要求比較高的分公司領(lǐng)導(dǎo)，關(guān)系到公司重要數(shù)據(jù)的財務(wù)部門，以及出差的領(lǐng)導(dǎo)員工等，使用DKEY認(rèn)證接入總部。3.6.2SSLVPN的主要功能1.數(shù)據(jù)強(qiáng)加密：SANGFORSSLVPN設(shè)備使用基于應(yīng)用層的SSLVPN協(xié)議進(jìn)行數(shù)據(jù)加密處理，在客戶終端與SSL設(shè)備之間構(gòu)建一條旁人無法破譯的專有通道，保證數(shù)據(jù)在傳輸中的絕對安全性。2.安全發(fā)布應(yīng)用，訪問便利：使用SSLVPN對內(nèi)網(wǎng)應(yīng)用進(jìn)行發(fā)布，并根據(jù)組織原有的Internet線路通過瀏覽器內(nèi)置的SSL協(xié)議構(gòu)建在單點(diǎn)接入用戶和內(nèi)部的應(yīng)用系統(tǒng)之間架設(shè)一條安全的通道。無需安裝任何客戶端軟件，實(shí)現(xiàn)分公司和移動辦公人員的安全、方便的遠(yuǎn)程接入。3.細(xì)致權(quán)限劃分：SANGFORSSLVPN通過“角色”的設(shè)置，進(jìn)行用戶、用戶組、應(yīng)用資源的綁定，并可通過基于時間的客戶端檢查授權(quán)規(guī)則賦予用戶、用戶組不同時間的不用應(yīng)用的訪問權(quán)限，實(shí)現(xiàn)基于用戶、用戶組、時間、應(yīng)用的細(xì)致權(quán)限劃分。4.安全桌面技術(shù)：可指定部分或全部對數(shù)據(jù)安全性要求較高的應(yīng)用必須置于安全桌面中訪問。當(dāng)客戶端登錄SSLVPN后，該應(yīng)用將置于通過虛擬技術(shù)在客戶端生成的一個封閉式安全桌面使用，應(yīng)用在與服務(wù)器所交互數(shù)據(jù)將被強(qiáng)加密處理。在使用時該安全桌面中的數(shù)據(jù)不可拷貝到默認(rèn)桌面中，不可通過網(wǎng)絡(luò)與局域網(wǎng)主機(jī)或外網(wǎng)進(jìn)行通訊，不可通過USB等外設(shè)拷貝出去。當(dāng)用戶退出SSLVPN中，所有安全桌面中數(shù)據(jù)將一并銷毀，將通過SSLVPN訪問應(yīng)用的各種數(shù)據(jù)徹底清理出本機(jī)，保證了應(yīng)用訪問過程中與SSLVPN退出后數(shù)據(jù)的安全性。5.融合多種加速技術(shù)：SANGFORSSLVPN結(jié)合了多種加速技術(shù)，分別從數(shù)據(jù)壓縮、線路優(yōu)化、傳輸提速三方面全面的提升數(shù)據(jù)傳輸速度。通過B/S、C/S壓縮將削減冗余數(shù)據(jù)，通過HTP快速傳輸協(xié)議針對丟包延時現(xiàn)象進(jìn)行線路優(yōu)化，通過基于碼流特征的數(shù)據(jù)優(yōu)化技術(shù)在保證數(shù)據(jù)實(shí)時性和完整性的前提下大幅降低數(shù)據(jù)傳輸量、提升傳輸速度，使用多線路技術(shù)、Web優(yōu)化、WebCache、資源負(fù)載均衡、IP服務(wù)加速進(jìn)行數(shù)據(jù)傳輸?shù)奶崴?，打造“最快速”的SSLVPN應(yīng)用訪問。6.多種認(rèn)證方式相結(jié)合：針對單一用戶名/密碼認(rèn)證的安全強(qiáng)度不足的問題，SANGFORSSLVPN支持多種認(rèn)證方式“與”、“或”方式相結(jié)合，包括短信認(rèn)證、CA認(rèn)證、LDAP、RADIUS、動態(tài)令牌卡的多種方式，加強(qiáng)了認(rèn)證的安全性。3.7鏈路負(fù)載均衡3.7.1方案設(shè)計說明本方案設(shè)計采用深信服AD應(yīng)用交付設(shè)備來實(shí)現(xiàn)網(wǎng)絡(luò)中兩條鏈路入站（從Internet發(fā)起對內(nèi)部服務(wù)器的訪問）和出站（內(nèi)部客戶端發(fā)起對Internet的訪問）方向負(fù)載均衡；整個系統(tǒng)采用全冗余網(wǎng)絡(luò)連接方式設(shè)計，來保證系統(tǒng)的高可用性和高可靠性。方案具體實(shí)現(xiàn)方式如下：1.對于出站流量，AD接收到流量以后，可以智能的將訪問ISP1的資源的出站流量分配到ISP1的接口，并做源地址的NAT，（可以指定某一合法IP地址進(jìn)行源地址的NAT，也可以用AD的接口地址自動映射），保證數(shù)據(jù)包返回時能夠正確接收，其他的流量走ISP2的線路。2.對于入站流量，AD分別綁定兩個ISP服務(wù)商的公網(wǎng)地址，解析來自兩個ISP服務(wù)商的DNS解析請求。ISP1的用戶訪問通過ISP1的線路訪問內(nèi)部，其他的用戶訪問通過ISP2的線路來訪問內(nèi)部。AD不僅可以根據(jù)服務(wù)器的健康狀況和響應(yīng)速度回應(yīng)LDNS相應(yīng)的IP地址，還可以通過兩條鏈路分別與LDNS建立連接，根據(jù)RTT時間判斷鏈路的好壞，并且綜合以上兩個參數(shù)回應(yīng)LDNS相應(yīng)的IP地址。3.7.2鏈路負(fù)載均衡的主要功能多合一負(fù)載均衡功能全面：深信服應(yīng)用交付解決方案包含全局負(fù)載均衡、多鏈路負(fù)載均衡、服務(wù)器負(fù)載均衡三位一體，幫助政府用戶提高多數(shù)據(jù)中心、多鏈路、服務(wù)器資源的利用率。快速、智能單邊加速功能：獨(dú)一無二的單邊加速功能，用戶客戶端無需安裝任何插件或軟件即可提升訪問速度。打造穩(wěn)定智能的業(yè)務(wù)發(fā)布平臺，使得用戶可以更快更穩(wěn)定地訪問發(fā)布內(nèi)容。商業(yè)智能分析：深信服負(fù)載均衡產(chǎn)品在保證數(shù)據(jù)交互穩(wěn)定性的前提下，不僅可以知悉組織網(wǎng)絡(luò)、服務(wù)器以及數(shù)據(jù)中心的運(yùn)行狀況，更可幫助政府組織分析自身的業(yè)務(wù)系統(tǒng)運(yùn)行狀況，進(jìn)而為高層的網(wǎng)絡(luò)優(yōu)化和業(yè)務(wù)優(yōu)化提供決策依據(jù)